Développer selon les principes de la Confiance Zéro
Cet article vous aide, en tant que développeur, à comprendre les principes fondamentaux de Confiance Zéro afin que vous puissiez améliorer la sécurité de votre application. Vous jouez un rôle clé dans la sécurité organisationnelle ; les applications et leurs développeurs ne peuvent plus supposer que le périmètre du réseau est sécurisé. Les applications compromises peuvent affecter l’ensemble de l’organisation.
Les organisations déploient de nouveaux modèles de sécurité qui s’adaptent aux environnements modernes complexes et adoptent la main-d’œuvre mobile. De nouveaux modèles sont conçus pour protéger les personnes, les appareils, les applications et les données où qu’ils se trouvent. Les organisations s’efforcent d’atteindre Confiance Zéro, une stratégie de sécurité et une approche pour la conception et l’implémentation d’applications qui suivent ces principes directeurs :
- Vérifier explicitement
- Utiliser l’accès du moindre privilège
- Supposer une violation
Au lieu de croire que tout ce qui se trouve derrière le pare-feu de l’entreprise est sûr, le modèle Confiance Zéro part du principe qu’une violation est possible et vérifie chaque demande comme si elle provenait d’un réseau non contrôlé. Indépendamment de l'origine de la demande ou de la ressource à laquelle elle accède, le modèle de confiance zéro nous oblige à « ne jamais faire confiance, toujours vérifier ».
Comprenez que Confiance Zéro n’est pas un remplacement des principes fondamentaux de la sécurité. Avec le travail provenant de n’importe où sur n’importe quel appareil, concevez vos applications pour incorporer des principes Confiance Zéro tout au long de votre cycle de développement.
Pourquoi développer avec une perspective Confiance Zéro ?
- Nous avons vu une augmentation du niveau de sophistication des attaques de cybersécurité.
- La main-d’œuvre « de n’importe où » a redéfini le périmètre de sécurité. Les données sont accessibles en dehors du réseau de l’entreprise et sont partagées avec des collaborateurs externes, tels que des partenaires et des fournisseurs.
- Les applications et les données d’entreprise sont déplacées d’un environnement local vers un environnement hybride et cloud. Les contrôles réseau traditionnels ne peuvent plus être appuyés pour la sécurité. Les contrôles doivent être déplacés vers l’emplacement où se trouvent les données : sur les appareils, dans les applications.
Les conseils de développement de cette section vous aident à renforcer la sécurité, à réduire le rayon d’explosion d’un incident de sécurité et à récupérer rapidement à l’aide de la technologie Microsoft.
Étapes suivantes
Abonnez-vous à notre flux RSS Développer selon les principes de la confiance zéro pour être informé des nouveaux articles.
Vue d'ensemble de l’assistance développeur
- Qu’entendons-nous par conformité Confiance Zéro ? fournit une vue d’ensemble de la sécurité des applications du point de vue d’un développeur pour répondre aux principes fondamentaux de Confiance Zéro.
- Utilisez les meilleures pratiques de développement de la gestion des identités et des accès Confiance Zéro dans votre cycle de développement d'applications pour créer des applications sécurisées.
- L’utilisation de méthodologies de développement basées sur des normes fournit une vue d’ensemble des normes prises en charge (OAuth 2.0, OpenID Connect, SAML, WS-Federation et SCIM) et les avantages de les utiliser avec MSAL et la Plateforme d’identités Microsoft.
- Les responsabilités des développeurs et des administrateurs pour l’inscription, l’autorisation et l’accès aux applications vous aident à mieux collaborer avec vos professionnels de l’informatique.
Autorisations et accès
- La création d’applications qui sécurisent l’identité par le biais d’autorisations et de consentement fournit une vue d’ensemble des autorisations et des meilleures pratiques d’accès.
- L’intégration d’applications à Microsoft Entra ID et à la lateforme d’identités Microsoft permet aux développeurs de créer et d’intégrer des applications que les professionnels de l’informatique peuvent sécuriser dans l’entreprise en intégrant en toute sécurité des applications à l’ID Microsoft Entra et à la plateforme d’identités Microsoft.
- L’inscription d’applications introduit les développeurs au processus d’inscription d’application et à ses exigences. Il les aide à s’assurer que les applications répondent Confiance Zéro principes d’utilisation de l’accès au moins privilégié et supposent une violation.
- Les types d’identité et de compte pris en charge pour les applications à locataire unique et multilocataire expliquent comment choisir si votre application autorise uniquement les utilisateurs de votre locataire Microsoft Entra, n’importe quel locataire Microsoft Entra ou les utilisateurs disposant de comptes Microsoft personnels.
- L’authentification des utilisateurs pour Confiance Zéro permet aux développeurs d’apprendre les meilleures pratiques pour authentifier les utilisateurs d’applications dans le cadre du développement d'applications Confiance Zéro. Il décrit comment améliorer la sécurité des applications avec les principes de Confiance Zéro des privilèges minimum et vérifier explicitement.
- L’acquisition d’une autorisation d’accès aux ressources vous aide à comprendre comment garantir le meilleur Confiance Zéro lors de l’acquisition d’autorisations d’accès aux ressources pour votre application.
- Le développement d’une stratégie de permissions déléguées vous aide à implémenter la meilleure approche pour gérer les autorisations dans votre application et à développer à l’aide de principes Confiance Zéro.
- Le développement d’une stratégie d’autorisations d’application vous aide à décider de l’approche des autorisations d’application pour le gestionnaire d'informations d’identification.
- La demande d’autorisations nécessitant un consentement administratif décrit l’autorisation et l’expérience de consentement lorsque les autorisations d’application nécessitent un consentement administratif.
- La réduction des autorisations et des applications privilégiées vous permet de comprendre pourquoi les applications ne doivent pas demander plus d’autorisations qu’elles ne le nécessitent (surprivileged) et comment limiter les privilèges pour gérer l’accès et améliorer la sécurité.
- La fourniture d'identifiants d'application en l'absence d'utilisateur explique pourquoi la meilleure pratique en matière d'identifiants client Zero Trust pour les services (applications non-utilisateurs) sur Azure est Managed Identities (Identités gérées) pour les ressources Azure.
- La gestion des jetons pour Confiance Zéro permet aux développeurs de créer une sécurité dans des applications avec des jetons d’ID, des jetons d’accès et des jetons de sécurité qu’ils peuvent recevoir à partir du Plateforme d'identités Microsoft.
- La personnalisation des jetons décrit les informations que vous pouvez recevoir dans les jetons Microsoft Entra et la façon dont vous pouvez personnaliser les jetons.
- La sécurisation des applications avec l’évaluation d’accès continu permet aux développeurs d’améliorer la sécurité des applications avec l’évaluation continue de l’accès. Apprenez comment assurer la prise en charge de la confiance zéro dans vos applications qui reçoivent l'autorisation d'accéder aux ressources lorsqu'elles acquièrent des jetons d'accès à partir de Microsoft Entra ID.
- La configuration des revendications de groupe et des rôles d’application dans les jetons vous montre comment configurer vos applications avec des définitions de rôles d’application et affecter des groupes de sécurité.
- API Protection décrit les meilleures pratiques pour protéger votre API par le biais de l'enregistrement, de la définition des autorisations et du consentement, et de l'application de l'accès pour atteindre vos objectifs de confiance zéro.
- Exemple d'API protégée par le cadre de consentement d’identité Microsoft vous aide à concevoir des stratégies de permissions d'application à moindre privilège pour une meilleure expérience utilisateur.
- L’appel d’une API à partir d’une autre API vous permet de vous assurer Confiance Zéro lorsque vous avez une API qui doit appeler une autre API. Vous allez apprendre à développer en toute sécurité votre application lorsqu’elle fonctionne pour le compte d’un utilisateur.
- Les meilleures pratiques d’autorisation vous aident à implémenter les modèles d’autorisation, d’autorisation et de consentement les mieux adaptés à vos applications.
Confiance Zéro DevSecOps
- La sécurisation des environnements DevOps pour Confiance Zéro décrit les meilleures pratiques pour sécuriser vos environnements DevOps avec une approche Confiance Zéro pour empêcher les pirates de compromettre les boîtes de développement, infecter les pipelines de mise en production avec des scripts malveillants et obtenir l’accès aux données de production via des environnements de test.
- La sécurisation de l’environnement de plateforme DevOps vous aide à implémenter des principes Confiance Zéro dans votre environnement de plateforme DevOps et met en évidence les meilleures pratiques pour la gestion des secrets et des certificats.
- La sécurisation de l’environnement de développement vous aide à implémenter des principes de Confiance Zéro dans vos environnements de développement avec les meilleures pratiques pour les privilèges minimum, la sécurité des branches et les outils de confiance, les extensions et les intégrations.
- L’incorporation de Confiance Zéro sécurité dans votre flux de travail de développeur vous aide à innover rapidement et en toute sécurité.
Documentation supplémentaire sur la Confiance Zéro
Utilisez du contenu supplémentaire de Confiance Zéro basé sur un ensemble de documentation ou sur les rôles de votre organisation.
Ensemble de documentations
Suivez ce tableau pour déterminer les meilleurs ensembles de documentations Confiance Zéro pour vos besoins.
| Ensemble de documentations | Vous aide à... | Rôles |
|---|---|---|
| Framework d’adoption pour obtenir des directives sur les phases et les étapes pour des solutions et des résultats métier clés | Appliquer des protections Confiance Zéro de la direction à l’implémentation de l’informatique. | Architectes de sécurité, équipes informatiques et responsables de projets |
| Concepts et objectifs de déploiement afin d’obtenir des conseils généraux sur le déploiement pour les domaines technologiques | Appliquer des protections Confiance Zéro alignées sur des domaines technologiques. | Équipes informatiques et personnel de sécurité |
| Confiance Zéro pour les petites entreprises | Appliquer les principes de Confiance Zéro aux clients de type petite entreprise. | Clients et partenaires travaillant avec Microsoft 365 pour les entreprises |
| Plan de modernisation rapide (RaMP) Confiance Zéro pour obtenir des conseils et des listes de contrôle de gestion de projet, pour progresser facilement | Implémenter rapidement les couches clés de la protection Confiance Zéro. | Architectes de sécurité et responsables de l’implémentation de l’informatique |
| Plan de déploiement de Confiance Zéro avec Microsoft 365 pour obtenir des directives détaillées et par étapes sur la conception et le déploiement | Appliquer des protections Confiance Zéro à votre locataire Microsoft 365. | Équipes informatiques et personnel de sécurité |
| Confiance Zéro pour des Microsoft Copilot afin d’obtenir un aide détaillé et par étapes sur la conception et le déploiement | Appliquez des protections Confiance Zéro à Microsoft Copilot. | Équipes informatiques et personnel de sécurité |
| Confiance Zéro pour les services Azure pour obtenir des directives détaillées et par étapes sur la conception et le déploiement | Appliquer des protections Confiance Zéro aux charges de travail et aux services Azure. | Équipes informatiques et personnel de sécurité |
| Intégration de partenaires à Confiance Zéro pour obtenir des directives de conception pour des domaines et des spécialisations technologiques | Appliquer des protections Confiance Zéro aux solutions Microsoft cloud de partenaires. | Développeurs partenaires, équipes informatiques et personnel de sécurité |
Votre rôle
Suivez ce tableau afin de déterminer les meilleurs ensembles de documentation pour votre rôle au sein de votre organisation.
| Rôle | Ensemble de documentations | Vous aide à... |
|---|---|---|
| Architecte de la sécurité Chef de projet informatique Implémentation informatique |
Framework d’adoption pour obtenir des directives sur les phases et les étapes pour des solutions et des résultats métier clés | Appliquer des protections Confiance Zéro de la direction à l’implémentation de l’informatique. |
| Membre d’une équipe informatique ou de sécurité | Concepts et objectifs de déploiement afin d’obtenir des conseils généraux sur le déploiement pour les domaines technologiques | Appliquer des protections Confiance Zéro alignées sur des domaines technologiques. |
| Client ou partenaire pour Microsoft 365 pour les entreprises | Confiance Zéro pour les petites entreprises | Appliquer les principes de Confiance Zéro aux clients de type petite entreprise. |
| Architecte de la sécurité Implémentation informatique |
Plan de modernisation rapide (RaMP) Confiance Zéro pour obtenir des conseils et des listes de contrôle de gestion de projet, pour progresser facilement | Implémenter rapidement les couches clés de la protection Confiance Zéro. |
| Membre d’une équipe informatique ou de sécurité pour Microsoft 365 | Plan de déploiement de Confiance Zéro avec Microsoft 365 pour obtenir des directives détaillées et par étapes sur la conception et le déploiement pour Microsoft 365 | Appliquer des protections Confiance Zéro à votre locataire Microsoft 365. |
| Membre d’une équipe informatique ou de sécurité pour Microsoft Copilot | Confiance Zéro pour des Microsoft Copilot afin d’obtenir un aide détaillé et par étapes sur la conception et le déploiement | Appliquez des protections Confiance Zéro à Microsoft Copilot. |
| Membre d’une équipe informatique ou de sécurité pour les services Azure | Confiance Zéro pour les services Azure pour obtenir des directives détaillées et par étapes sur la conception et le déploiement | Appliquer des protections Confiance Zéro aux charges de travail et aux services Azure. |
| Développeur partenaire, ou membre d’une équipe informatique ou de sécurité | Intégration de partenaires à Confiance Zéro pour obtenir des directives de conception pour des domaines et des spécialisations technologiques | Appliquer des protections Confiance Zéro aux solutions Microsoft cloud de partenaires. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour